Microsoft 365 interdit dans les écoles allemandes pour des raisons de confidentialité

Problèmes de longue date

Le groupe de travail DSK étudie activement comment améliorer O365 pour assurer la conformité aux normes européennes de protection des données depuis deux ans, après que Microsoft a abandonné son offre de cloud allemand en août 2018 et que les régulateurs de l’État ont commencé à signaler des problèmes avec le service.

En juillet 2019, par exemple, le commissaire de Hesse à la protection des données et à la liberté d’information a souligné les problèmes liés à O365, en particulier le fait que l’utilisation d’un fournisseur de cloud américain permettrait aux autorités américaines d’accéder aux données stockées dans un cloud européen, et que de nombreuses données de télémétrie étaient collectées et transférées sans journalisation suffisante de l’activité.

Le commissaire de Hesse a donc interdit l’utilisation de l’O365 dans les écoles du Land allemand de Hesse et a noté à l’époque que « ce qui est vrai pour Microsoft l’est également pour les solutions cloud de Google et d’Apple ».

« Jusqu’à présent, les solutions cloud de ces fournisseurs n’ont pas été transparentes et définies de manière compréhensible. Par conséquent, il est également vrai que pour les écoles, l’utilisation respectueuse de la vie privée n’est actuellement pas possible », a ajouté le commissaire.

Bien que Microsoft ait convenu avec le groupe de travail d’apporter un certain nombre de modifications à ses systèmes, y compris l’adoption de certaines des CCT de la Commission européenne et la présentation plus détaillée de la manière dont elle traite les données, les modifications ont été jugées insuffisantes par la DSK. Ces modifications ont été détaillées dans une version mise à jour du Addendum sur la protection des données des produits et services.

Faisant référence au rapport du groupe de travail dans une déclaration distincte, le DSK a déclaré: « La preuve que les contrôleurs de données utilisent Microsoft 365 conformément à la loi sur la protection des données ne peut pas être fournie sur la base de l’addendum sur la protection des données du 15 septembre 2022 fourni par Microsoft.

« En particulier, tant que la transparence nécessaire sur le traitement des données à caractère personnel provenant d’un traitement commandé pour les besoins propres de Microsoft n’est pas établie et que sa licéité n’est pas prouvée, cette preuve ne peut être fournie. »

Microsoft répond

Microsoft soutient toutefois qu’il est toujours possible pour les écoles allemandes d’utiliser O365 d’une manière conforme à la loi et que ses produits « non seulement respectent, mais dépassent souvent, les lois strictes de l’UE en matière de protection des données ».

Il a déclaré que les préoccupations de DSK ne tiennent pas suffisamment compte des changements que la société a déjà apportés à ses systèmes et découlent de « plusieurs malentendus » sur le fonctionnement de ses services.

« Nous avons travaillé en étroite collaboration avec le DSK tout au long du processus d’examen et avons répondu aux préoccupations soulevées par plusieurs changements radicaux », a déclaré Microsoft. « À titre d’exemple, citons une procédure de notification améliorée pour les changements de sous-traitants ultérieurs et des clarifications supplémentaires concernant le traitement des données personnelles par Microsoft pour les activités commerciales de Microsoft suscitées par la fourniture des services aux clients. Microsoft a pleinement coopéré avec le DSK et, bien que nous ne soyons pas d’accord avec l’évaluation du DSK, nous aimerions répondre à toutes les préoccupations restantes.

« Nous prenons à cœur la demande de DSK pour plus de transparence. Bien que nos normes de transparence dépassent déjà celles de la plupart des autres fournisseurs de notre secteur, nous nous engageons à nous améliorer encore. En particulier, dans le cadre de notre projet de frontière européenne en matière de données, nous fournirons une documentation supplémentaire sur les flux de données de nos clients et les finalités du traitement dans un souci de transparence. Nous fournirons également plus de transparence sur les emplacements et le traitement par les sous-traitants et les employés de Microsoft en dehors de l’UE. »

Il a ajouté: « Dans l’intérêt d’une plus grande transparence, nous apprécierions que le rapport complet soit publié avec les réponses détaillées et les commentaires soumis au DSK de Microsoft, mais avec une expurgation appropriée. »

Alors que Microsoft s’était engagé à créer une frontière européenne des données d’ici la fin de 2022, les experts en protection des données ont déjà critiqué cette décision comme un aveu tacite que les données sont systématiquement traitées en dehors du bloc, affirmant qu’il n’y a aucun moyen réalisable d’empêcher le transfert des données des citoyens européens à l’étranger vers les États-Unis où les normes de protection sont inférieures.

Dans sa réponse au DSK, Microsoft a déclaré que la frontière de données « réduirait considérablement le flux de données de l’UE vers d’autres pays… [enabling] les clients du secteur public et des entreprises dans l’UE et dans l’ensemble de l’Association européenne de libre-échange pour traiter et stocker les données des clients dans la région ».

Suite à la publication du rapport du groupe de travail, le commissaire fédéral à la protection des données, Ulrich Kelber, a déclaré que si Microsoft avait fait des « progrès sur des points individuels », les autorités de protection des données « devraient examiner [at] des cas individuels pour voir si le respect de la protection des données peut encore être atteint ».

Kelber a ajouté qu’il doutait que l’O365 puisse « simplement être utilisé sur un ordinateur sans mesures de protection supplémentaires ».

Commentant les conclusions de la DSK, Matthias Pfau, fondateur du service de messagerie cryptée Tutanota, a déclaré qu’il était « incroyable » que les services cloud basés aux États-Unis continuent de piétiner les droits européens sur les données plus de quatre ans après l’introduction du RGPD en mai 2018.

« De toute évidence, les grandes entreprises américaines supportent toutes les plaintes et les pénalités parce que le modèle économique – « utilisez mon service et j’utiliserai vos données » – est extrêmement lucratif pour elles. Au lieu de compter sur la coopération volontaire, il faut en tirer des conséquences beaucoup plus dures; par exemple, en utilisant des systèmes complètement différents », a-t-il déclaré.

« Linux avec Open Office est une très bonne alternative vers laquelle les écoles et les autorités devraient passer immédiatement. Tant que les écoles et les autorités continueront à utiliser Microsoft – bien qu’installé localement – Microsoft ne voit évidemment aucune raison de respecter les règles européennes en matière de protection des données.